隐蔽信道的检测方法、装置、可读存储介质及电子设备

文献发布时间：2023-06-19 10:29:05

技术领域

本公开涉及网络数据安全技术领域，具体地，涉及一种隐蔽信道的检测方法、装置、可读存储介质及电子设备。

背景技术

隐蔽信道常见于APT(Advanced Persistent Threat，高级持续性威胁)攻击中，是APT攻击中常见的攻击信道，主要发生在APT攻击中的控制命令传输和数据窃取等攻击环节。隐蔽信道属于APT攻击中恶意的数据传输通道，也是网络攻击黑产牟利的重要手段之一。网络攻击者会使用隐蔽信道躲避防火墙和IDS(intrusion detection system，入侵检测系统)等安全产品的检测，以通过不可检测的网络从目标主机窃取数据，对于网络监控设备和网络管理员而言，通过隐蔽信道获取数据时的流量就是一般的正常流量，因此，网络监控设备和网络管理员无法通过获取数据时的流量来判断该信道是否为隐蔽信道。即，非法用户可以利用隐蔽信道进行网络通信。

隐蔽信道的存在，对网络操作系统是一个重大的威胁。因此对高安全等级的网络操作系统，需要具备隐蔽信道检测的功能，以及时发现网络攻击中的数据传输动作，确保网络中的数据安全。而相关技术中，无法对隐蔽信道进行准确检测，从而也就无法确保网络中的数据安全。

发明内容

本公开的目的是提供一种隐蔽信道的检测方法、装置、可读存储介质及电子设备，以解决相关技术中存在的问题。

为了实现上述目的，本公开提供一种隐蔽信道的检测方法，包括：

获取待检测信道的目标网络协议类型；

根据所述目标网络协议类型，确定所述待检测信道的传输特征集合；

根据所述传输特征集合和所述目标网络协议类型对应的隐蔽信道检测模型，确定所述待检测信道的目标信道类型，所述目标信道类型包括隐蔽信道和非隐蔽信道；

所述目标网络协议类型对应的隐蔽信道检测模型通过以下生成方式生成：

在所述目标网络协议类型的已知信道类型的每一传输特征样本集合中进行随机特征抽取，以得到所述已知信道类型的每一传输特征样本集合对应的至少一类传输特征样本子集合，其中，所述传输特征样本集合包括多个特征，每次抽取得到的第一预设数量的特征组成一类传输特征样本子集合；

针对所述已知信道类型的传输特征样本集合的每类传输特征样本子集合，将该类传输特征样本子集合中每一传输特征样本子集合作为输入参数，将每一传输特征样本子集合各自对应的已知信道类型作为输出参数，训练得到一子分类模块；

根据训练得到的多个所述子分类模块生成所述隐蔽信道检测模型。

可选地，所述隐蔽信道检测模型的生成方式还包括：

在样本数据集合中进行多次随机样本数据抽取，以得到多个样本数据子集合，其中，所述样本数据集合包括所述目标网络协议类型的多个样本数据，每一所述传输特征样本集合为一样本数据，每次抽取得到的第二预设数量的样本数据组成一个样本数据子集合；

所述在所述目标网络协议类型的已知信道类型的每一传输特征样本集合中进行随机特征抽取，以得到所述已知信道类型的每一传输特征样本集合对应的至少一类传输特征样本子集合，包括：

针对每一样本数据子集合，在该样本数据子集合中包括的已知信道类型的每一传输特征样本集合中进行一次随机特征抽取，以得到所述样本数据子集合中已知信道类型的每一传输特征样本集合对应的一类传输特征样本子集合；

所述针对所述已知信道类型的传输特征样本集合的每类传输特征样本子集合，将该类传输特征样本子集合中每一传输特征样本子集合作为输入参数，将每一传输特征样本子集合各自对应的已知信道类型作为输出参数，训练得到一子分类模块，包括：

针对每一样本数据子集合中，将该样本数据子集合中包括的已知信道类型的每一传输特征样本集合对应的一类传输特征样本子集合中每一传输特征样本子集合作为输入参数，将每一传输特征样本子集合各自对应的指定信道类型作为输出参数，训练得到一子分类模块。

可选地，所述传输特征样本集合是通过如下方式提取得到的：

根据所述目标网络协议类型对应的特征提取维度，在所述目标网络协议类型的每一所述已知信道类型对应的信道传输数据中提取特征，得到所述目标网络协议类型的对应该已知信道类型的传输特征样本集合。

可选地，所述根据所述目标网络协议类型对应的特征提取维度，在所述目标网络协议类型的每一所述已知信道类型对应的信道传输数据中提取特征，得到所述目标网络协议类型的对应该已知信道类型的传输特征样本集合，包括：

对所提取到的不同维度的特征进行特征组合，得到所述目标网络协议类型的对应该已知信道类型的传输特征原始样本集合；

确定所述传输特征原始样本集合中的每一特征的基尼系数；

根据所述基尼系数由小到大的顺序，利用前M个特征生成传输特征样本集合，M为大于零且小于所述传输特征原始样本集合中的特征总数的整数。

可选地，所述根据所述目标网络协议类型对应的特征提取维度，在所述目标网络协议类型的每一所述已知信道类型对应的信道传输数据中提取特征，得到所述目标网络协议类型的对应该已知信道类型的传输特征样本集合，还包括：

根据所述基尼系数由小到大的顺序，确定后N-M个特征为待清洗特征，N为所述传输特征原始样本集合中的特征总数；

对所述待清洗特征和所述传输特征原始样本集合对应的已知信道类型进行聚类分析，并输出聚类结果；

获取用户针对所述待清洗特征的所述聚类结果确定的待保留特征；

利用前M个特征和所述待保留特征，生成传输特征样本集合。

可选地，所述传输特征集合包括多类传输特征子集合；

所述根据所述目标网络协议类型，确定所述待检测信道的传输特征集合，包括：

针对所述目标网络协议类型对应的隐蔽信道检测模型中每一子分类模块，根据训练所述子分类模块时输入的所述传输特征样本子集合包括的特征，确定所述待检测信道的、所述子分类模块对应的传输特征子集合。

可选地，所述根据所述传输特征集合和所述目标网络协议类型对应的隐蔽信道检测模型，确定所述待检测信道的信道类型，包括：

针对每一所述子分类模块，将所述待检测信道的、所述子分类模块对应的传输特征子集合输入至所述子分类模块，以得到所述子分类模块输出的分类结果；

根据多个所述子分类模块输出的分类结果，确定所述待检测信道的信道类型。

可选地，所述根据多个所述子分类模块输出的分类，确定所述待检测信道的目标信道类型，包括：

将多个所述子分类模块输出的分类结果中出现次数最多的分类结果确定为所述待检测信道的目标信道类型；或者

在多个所述子分类模块输出的分类结果中，若表征所述待检测信道为非隐蔽信道的分类结果的数量大于或等于第三预设数量，则确定所述待检测信道的目标信道类型为所述非隐蔽信道。

可选地，所述传输特征集合包括的特征是基于会话提取的。

本公开第二方面提供一种隐蔽信道的检测装置，包括：

获取模块，用于获取待检测信道的目标网络协议类型；

第一确定模块，用于根据所述目标网络协议类型，确定所述待检测信道的传输特征集合；

第二确定模块，用于根据所述传输特征集合和所述目标网络协议类型对应的隐蔽信道检测模型，确定所述待检测信道的目标信道类型，所述目标信道类型包括隐蔽信道和非隐蔽信道；

所述目标网络协议类型对应的隐蔽信道检测模型通过以下生成方式生成：

根据训练得到的多个所述子分类模块生成所述隐蔽信道检测模型。

本公开第三方面提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本公开第一方面所提供的任一项所述方法的步骤。

本公开第四方面提供一种电子设备，包括：

存储器，其上存储有计算机程序；

处理器，用于执行所述存储器中的所述计算机程序，以实现本公开第一方面所提供的任一项所述方法的步骤。

通过上述技术方案，通过随机特征抽取得到至少一类传输特征样本子集合，并利用该至少一类传输特征样本子集合训练得到隐蔽信道检测模型中的至少一个子分类模块，如此，可以增强各个子分类模块的差异性，进而可以使隐蔽信道检测模型具有较高的抗过拟合能力，提高了隐蔽信道检测模型的精准度。利用该精准度较高的隐蔽信道检测模型对待检测信道进行检测，可以准确检测出对待检测信道的目标信道类型。此外，预先为每一网络协议类型生成一隐蔽信道检测模型，在检测待检测信道的信道类型时，可以利用待检测信道的目标网络协议类型对应的隐蔽信道检测模型进行检测，进一步提高了对待检测信道的目标信道类型的检测准确度，进而提高了网络中的数据安全。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1是根据一示例性实施例示出的一种隐蔽信道的检测方法的流程图。

图2是根据一示例性实施例示出的一种隐蔽信道的检测装置的框图。

图3是根据一示例性实施例示出的一种电子设备的框图。

具体实施方式

在目前的网络安全产品中，对于隐蔽信道的检测主要是采用基于规则匹配方法，通过对信道中传输的数据包或会话进行规则匹配，根据规则匹配结果确定该信道是否为隐蔽信道。例如，隐蔽信道中传输的数据包或会话的分布服从泊松分布，若该信道中传输的数据包或会话的分布符合泊松分布，则确定该信道为隐蔽信道，否则确定该信道为非隐蔽信道。然而，采用该规则匹配的方法对隐蔽信道进行检测时，无法检测出新出现的且不满足规则匹配的隐蔽信道。因此，相关技术中，可能会存在对隐蔽信道的漏检测，即，无法准确检测出隐蔽信道，从而无法确保网络中的数据安全。

鉴于此，本公开提供一种隐蔽信道的检测方法、装置、可读存储介质及电子设备，以提高对隐蔽信道的检测准确性。

以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本公开，并不用于限制本公开。

图1是根据一示例性实施例示出的一种隐蔽信道的检测方法的流程图。如图1所示，该隐蔽信道的检测方法可以包括如下步骤。

在步骤101中，获取待检测信道的目标网络协议类型。

在本公开中，执行该隐蔽信道的检测方法的设备可以是网关类安全产品，例如，防火墙。示例地，该网关类安全产品对待检测信道的通信协议进行分析，以确定该待检测通道的目标网络协议类型。其中，目标网络协议类型可以是HTTP协议、DNS协议、ICMP协议中的一者。应当理解的是，对信道的通信协议进行分析确定目标网络协议类型的技术属于较为成熟的技术，本公开对此不作具体限定。

在步骤102中，根据目标网络协议类型，确定待检测信道的传输特征集合。

在实际应用中，不同的网络协议类型对应的特征提取维度不同，因此，在本公开中，在确定出目标网络协议类型之后，需根据该目标网络协议类型确定待检测信道的传输特征集合，该传输特征集合是由在待检测信道的信道传输数据中提取的传输特征组成的。

在步骤103中，根据传输特征集合和目标网络协议类型对应的隐蔽信道检测模型，确定待检测信道的目标信道类型，目标信道类型包括隐蔽信道和非隐蔽信道。

其中，该目标网络协议类型对应的隐蔽信道检测模块可以通过以下生成方式生成：

首先，在目标网络协议类型的已知信道类型的每一传输特征样本集合中进行随机特征抽取，以得到已知信道类型的每一传输特征样本集合对应的至少一类传输特征样本子集合，其中，传输特征样本集合包括多个特征，每次抽取得到的第一预设数量的特征组成一类传输特征样本子集合。

示例地，第一预设数量为大于或等于2且小于传输特征样本集合中包括的特征总数量的整数。其中，第一预设数量的取值范围可以为[0.6*特征总数量，0.8*特征总数量]。例如，每一传输特征样本集合中包括的20个特征，则每次从每一传输特征样本集合中随机抽取12个特征，组成一类传输特征样本子集合。针对每一传输特征样本集合，针对每一次随机特征抽取所组成的每一传输特征样本子集合，该传输特征样本子集合中包括的每一特征均不相同，并且，至少存在两类不同的传输特征样本子集合。

在一种可能的方式中，所组成的传输特征样本子集合中任意两类传输特征样本子集合均不相同，也即是，每次随机特征抽取的规则均不相同。并且，所组成的传输特征样本子集合的类别数量与隐蔽信道检测模型中包括的子分类模块的数量相同。

接着，针对已知信道类型的传输特征样本集合的每类传输特征样本子集合，将该类传输特征样本子集合中每一传输特征样本子集合作为输入参数，将每一传输特征样本子集合各自对应的已知信道类型作为输出参数，训练得到一子分类模块。

示例地，假设传输特征样本集合为50个，每一传输特征样本集合的信道类型均已知，例如，第2n+1个传输特征样本集合的信道类型为隐蔽信道，第2n+2个传输特征样本集合的信道类型为非隐蔽信道。并且，每一传输特征样本集合包括多个特征，对每一传输特征样本集合随机抽取三次，每次都抽取第一预设数量个特征组成一类传输特征样本子集合，且每类传输特征样本子集合包括50个传输特征样本子集合。例如，针对每一传输特征样本集合，第一次随机抽取得到一类传输特征样本子集合记为传输特征样本子集合1、第二次随机抽取得到一类传输特征样本子集合记为传输特征样本子集合2、以及第三次随机抽取得到一类传输特征样本子集合记为传输特征样本子集合3。即，50个传输特征样本集合中每一传输特征样本集合均对应三类传输特征样本子集合，并且每一传输特征样本集合对应的每类传输特征样本子集合均包括一个传输特征样本子集合，即，最终可得到50个传输特征样本子集合1、50个传输特征样本子集合2、以及50个传输特征样本子集合3，并且，每一个传输特征样本子集合的信道类型也是已知的。例如，在50个传输特征样本子集合1中第2n+1个传输特征样本子集合1的信道类型为隐蔽信道，第2n+2个传输特征样本子集合1的信道类型为非隐蔽信道；在50个传输特征样本子集合2中第2n+1个传输特征样本子集合2的信道类型为隐蔽信道，第2n+2个传输特征样本子集合2的信道类型为非隐蔽信道；以及在50个传输特征样本子集合3中第2n+1个传输特征样本子集合3的信道类型为隐蔽信道，第2n+2个传输特征样本子集合3的信道类型为非隐蔽信道。其中，n取值范围为[0,24]。

之后，针对50个传输特征样本子集合1中的每一传输特征样本子集合1，将该传输特征样本子集合1作为输入参数，将该传输特征样本子集合1对应的已知信道类型作为输出参数，训练得到一子分类模块。如此，最终可以训练得到三个子分类模块。例如，将第2n+1个传输特征样本子集合1作为输入参数时，将隐蔽信道作为输出参数，对一子分类模块进行训练。

最后，根据训练得到的多个子分类模块生成隐蔽信道检测模型。

值得说明的是，在本公开中，可以预先为每一网络协议类型生成一隐蔽信道检测模型。由于生成每一网络协议类型对应的隐蔽信道检测模型的方式类似，因此，本公开仅示出了生成目标网络协议类型对应的隐蔽信道检测模型的具体方式。本领域技术人员可以参照生成该目标网络协议类型对应的隐蔽信道检测模型的具体方式，生成其他的网络协议类型对应的隐蔽信道检测模型，本公开对此不作赘述。

采用上述技术方案，通过随机特征抽取得到至少一类传输特征样本子集合，并利用该至少一类传输特征样本子集合训练得到隐蔽信道检测模型中的至少一个子分类模块，如此，可以增强各个子分类模块的差异性，进而可以使隐蔽信道检测模型具有较高的抗过拟合能力，提高了隐蔽信道检测模型的精准度。利用该精准度较高的隐蔽信道检测模型对待检测信道进行检测，可以准确检测出对待检测信道的目标信道类型。此外，预先为每一网络协议类型生成一隐蔽信道检测模型，在检测待检测信道的信道类型时，可以利用待检测信道的目标网络协议类型对应的隐蔽信道检测模型进行检测，进一步提高了对待检测信道的目标信道类型的检测准确度，进而提高了网络中的数据安全。

为了使本领域技术人员更好地理解本公开实施例所提供的隐蔽信道的检测方法，下面以一个完整的实施例对本公开实施例所提供的隐蔽信道的检测方法进行说明。

下面对隐蔽信道检测模型的生成方式进行详细说明。

首先，对传输特征样本集合的生成方式进行说明。

示例地，可以根据目标网络协议类型对应的特征提取维度，在目标网络协议类型的每一已知信道类型对应的信道传输数据中提取特征，得到目标网络协议类型的对应该已知信道类型的传输特征样本集合。

如上所述，不同的网络协议类型对应的特征提取维度不同。例如，HTTP网络协议类型对应的特征提取维度可以包括上传字节数、下载字节数、负载占比、请求流量包个数、响应流量包个数等。其中，在数据传输过程中，一个数据包(以下简称流量包)中除了包括真正要传输的数据之外，还包括通信协议内容，例如，通信协议的头信息等。负载占比是指在一个流量包中包括的真正要传输的数据大小与该数据包大小的比值。又例如，DNS网络协议类型对应的特征提取维度可以包括请求包负载占比、响应包负载占比、域名长度、子域名个数等。再例如，ICMP网络协议类型对应的特征提取维度可以包括流量包个数、流量包大小、负载是否相同等。其中，此处的负载是指流量包中包括的真正要传输的数据。

在确定出目标网络协议类型对应的特征提取维度之后，获取该目标网络协议类型的每一已知信道类型对应的信道传输数据，并从该信道传输数据中提取特征。值得说明的是，一个会话包括多个流量包，因此，为了使所提取的特征较为丰富，以更好地表征在该信道中传输的数据的特点，在本公开中，可以基于会话提取特征，以组成传输特征样本集合。

为了实现基于会话提取特征的目的，需要先识别出每一个会话。其中，不同的网络协议类型对应的会话识别的方式也不同。例如，在HTTP协议的信道中，通过三次握手、四次挥手和RESET机制就可以确定一个HTTP会话。在DNS协议的信道中，一个会话是由一个DNS请求包和DNS响应包组合而成，因此，可以通过DNS请求包和DNS响应包即可确定一个DNS会话。在ICMP协议的信道中，可以通过校验数据确定一个ICMP会话。值得说明的是，本公开对会话的识别方式并不作具体限定。

示例地，针对每一网络协议类型，可以预先构建该网络协议类型的隧道，例如，构建HTTP隧道，以从该HTTP隧道中获取隐蔽信道传输数据(以下简称HTTP隧道数据)，该HTTP隧道数据可以包括一个或多个HTTP会话，并按照HTTP网络协议类型对应的特征提取维度，从HTTP隧道数据中提取特征，以构建HTTP网络协议类型的对应信道类型为隐蔽信道的传输特征样本集合，以及从HTTP网络协议类型的合法信道中获取合法信道传输数据(以下简称HTTP信道数据)，该HTTP信道数据可以包括一个或多个HTTP会话，并按照HTTP网络协议类型对应的特征提取维度，从该HTTP信道数据中提取特征，以构建HTTP网络协议类型的对应信道类型为非隐蔽信道的传输特征样本集合。类似地，还可以构建DNS隧道，并构建DNS网络协议类型的对应信道类型为隐蔽信道的传输特征样本集合，以及DNS网络协议类型的对应信道类型为非隐蔽信道的传输特征样本集合，等等。

在一种实施例中，可以直接根据所提取到的特征生成传输特征样本集合，该传输特征样本集合仅包括所提取的特征。

在另一种实施例中，为了丰富传输特征样本集合中包括的特征维度，还可以对所提取到的不同维度的特征进行特征组合，得到维度更为丰富的传输特征样本集合。示例地，以HTTP网络协议类型为例，可以提取到请求流量包个数、响应流量包个数，则可以对上述两个维度特征进行组合，例如，根据请求流量包个数、响应流量包个数，得到请求流量包个数与总流量包个数的比值，等等。

在又一种实施例中，考虑到有些维度的特征的分类效果不明显，即，对信道类型的检测作用不大，因此，还可以对特征进行清洗。示例地，可以对所提取到的不同维度的特征进行特征组合，得到维度更为丰富的传输特征原始样本集合，确定传输特征原始样本集合中的每一特征的基尼系数，并根据基尼系数由小到大的顺序，利用前M个特征生成传输特征样本集合，M为大于零且小于传输特征原始样本集合中的特征总数的整数。

在本公开中，利用基尼系数表征各个特征的不确定性，其中，基尼系数越小，表示基于该特征的分类不确定性越低，即，基于该特征的分类效果就越明显。因此，在一种可能的方式中，在确定给出每一特征的基尼系数之后，根据基尼系数由小到大的顺序，利用前M个特征生成传输特征样本集合，即，所生成的传输特征样本集合仅包括分类效果较为明显的前M个特征。

在另一种可能的方式中，在确定出每一特征的基尼系数之后，根据基尼系数由小到大的顺序，确定后N-M个特征为待清洗特征，其中，N为样本传输特征原始样本集合中的特征总数，对待清洗特征和传输特征原始样本集合对应的已知信道类型进行聚类分析，并输出聚类结果，获取用户针对待清洗特征的聚类结果确定的待保留特征，并利用前M个特征和待保留特征，生成传输特征样本集合。

在该方式中，N-M可以为5％*N或10％*N的整数。并且，在该实施例中，首先，采用相关技术中的多维聚类方式，针对所有待清洗特征进行聚类，得到特征聚类结果，之后，将传输特征原始样本集合对应的已知信道类型显示在该特征聚类结果中，得到最终的聚类结果。其中，该聚类结果中可以显示出每个待清洗特征的信道类型，如此，用户可以根据聚类结果中显示的信道类型，将可以形成明显聚类簇的特征，确定为待保留特征，并将该待保留特征发送给执行该隐蔽信道的检测方法的设备，以使该设备可以从待清洗特征中确定出待保留特征，进而根据前M个特征和待保留特征生成传输特征样本集合。

至此，即可按照上述任一方式确定出目标网络协议类型的已知信道类型的每一传输特征样本集合。

在得到传输特征样本集合之后，可以按照前文所描述方式，对传输特征样本集合进行随机特征抽取，以得到每一传输特征样本集合对应的至少一类传输特征样本子集合，并利用该至少一类传输特征样本子集合对子分类模块进行训练。

在一种实施例中，为了进一步增强所训练的各个子分类模块的差异性，还可以对传输特征样本集合进行随机抽样。例如，可以将上述所确定的每一个传输特征样本集合作为一个样本数据，并基于多个样本数据构成样本数据集合，即该样本数据集合中包括多个传输特征样本集合。

首先，在样本数据集合中进行多次随机样本数据抽取，以得到多个样本数据子集合，每次抽取得到的第二预设数量的样本数据组成一个样本数据子集合。

其中，第二预设数量可以为0.8*样本数据总数量的整数。针对每一次随机样本数据抽取所组成的样本数据子集合，该样本数据子集合中包括的样本数据均不相同，且任意两次随机样本数据抽取所组成的两个样本数据子集合不同，也即是，每次随机样本数据抽取的规则均不相同。并且，样本数据子集合的数量与隐蔽信道检测模型中包括的子分类模块的数量相同。这样，随机抽取所得到的多个样本数据子集合均不相同，存在差异。

接着，针对每一样本数据子集合，在该样本数据子集中包括的已知信道类型的每一传输特征样本集合中进行一次随机特征抽取，以得到该样本数据子集合中已知信道类型的每一传输特征样本集合对应的一类传输特征样本子集合。

之后，针对每一样本数据子集合中，将该样本数据子集合中包括的已知信道类型的每一传输特征样本集合对应的一类传输特征样本子集合中每一传输特征样本子集合作为输入参数，将每一传输特征样本子集合各自对应的指定信道类型作为输出参数，训练得到一子分类模块。

示例地，假设传输特征样本集合的数量为50，即，样本数据的数量为50，则每次抽取40个样本数据作为一个样本数据子集合。假设子分类模块的数量为3，则随机样本数据抽取次数为3，就可以得到三个样本数据子集合，分别记为样本数据子集合1、样本数据子集合2和样本数据子集合3，其中，每个样本数据子集均包括40个样本数据，即，每个样本数据子集均包括40个传输特征样本集合。之后，对样本数据子集合1中包括的40个传输特征样本集合中的每一传输特征样本集合进行一次随机特征抽样，以得到40个传输特征样本子集合1。同样地，对样本数据子集合2中包括的40个传输特征样本集合中的每一传输特征样本集合进行一次随机特征抽样，以得到40个传输特征样本子集合2，以及，对样本数据子集合3中包括的40个传输特征样本集合中的每一传输特征样本集合进行一次随机特征抽样，以得到40个传输特征样本子集合。其中，在该实施例中，不同样本数据子集合中采用的随机特征抽取的规则不同。例如，在样本数据子集合1中用到的随机特征抽取的规则、在样本数据子集合2中用到的随机特征抽取的规则、以及在样本数据子集合3中用到的随机特征抽取的规则均不相同，以确保样本数据子集合1对应的传输特征样本子集合1与样本数据子集合2对应的传输特征样本子集合2、以及样本数据子集合3对应的传输特征样本子集合3均不相同，以及，样本数据子集合2对应的传输特征样本子集合2与样本数据子集合3对应的传输特征样本子集合3也不相同。

之后，利用样本数据子集合1对应的40个传输特征样本子集合1对子分类模块1进行训练。同样地，利用样本数据子集合2对应的40个传输特征样本子集合2对子分类模块2进行训练，以及，利用样本数据子集合3对应的40个传输特征样本子集合3对子分类模块3进行训练。其中，在训练过程中，均是将每类传输特征样本子集合中每一个传输特征样本子集合作为输入参数，将该传输特征样本子集合对应的已知信道类型作为输出参数，进行训练的。

值得说明的是，还可以先对每一个传输特征样本集合进行三次随机特征抽取，以得到三类传输特征样本子集合，接着，对样本数据进行三次抽取得到三个样本数据子集合，这样，每一样本数据子集合均对应有三类传输特征样本子集合。在对子分类模块进行训练时，针对每一样本数据子集合，利用该样本数据子集合中的一类传输特征样本子集合和该类传输特征样本子集合中每一传输特征样本子集合对应的已知信道类型，对一个子分类模块进行训练。其中，不同的子分类模块采用不同样本数据子集合以及不同类的传输特征样本子集合进行训练。

在本公开中，子分类模块的算法可以根据传输特征样本集合中包括的特征总数量确定。示例地，如果特征总数量较大(例如，大于或等于第一阈值)，则可以选择支持向量机算法作为子分类模块的算法。如果特征总数量较小(例如，小于第一阈值)，则可以选择决策树算法作为子分类模块的算法。本公开对此不作具体限定。

在训练得到不同的子分类模块之后，利用该多个子分类模块生成隐蔽信道检测模型。

采用上述方案，既对传输特征样本集合中包括的特征进行随机抽取，得到至少一类传输特征样本子集合，也对样本数据集合中包括的样本数据进行随机抽取得到多个样本数据子集合，利用不同的样本数据子集合以及不同类的传输特征样本子集合，对不同的子分类模块进行训练，进一步增强了不同子分类模块的差异性，进而进一步提高了隐蔽信道检测模型的精准度。

值得说明的是，在生成隐蔽信道检测模型之后，还可以将该隐蔽信道检测模型集成到安全产品中。由于机器学习训练语言与防火墙后端语言不兼容，因此还需要将机器学习训练得到的隐蔽信道模型通过数据结构的方式读取到内存中。以决策树为例，在内存中，可以以goto的编码方式实现对决策树层级的判断，如果到达叶子结点则返回检测结果，以此实现对决策树模型的固化。

在利用基于上述生成方式生成的隐蔽信道检测模型对待检测信道的信道类型进行检测时，待检测信道的传输特征集合也包括多类传输特征子集合。例如，隐蔽信道检测模型包括三个子分类模块，则传输特征集合包括三类传输特征子集合。

图1中步骤102根据目标网络协议类型，确定待检测信道的传输特征集合的具体实施方式包括：

针对目标网络协议类型对应的隐蔽信道检测模型中每一子分类模块，根据训练该子分类模块时输入的传输特征样本子集合包括的特征，确定待检测信道的、该子分类模块对应的传输特征子集合。

示例地，隐蔽信道检测模型包括三个子分类模块，分别记为子分类模块1、子分类模块2和子分类模块3。分别确定训练子分类模块1时所用的传输特征样本子集合1包括的特征、训练子分类模块2时所用的传输特征样本子集合2包括的特征、以及训练子分类模块3时所用的传输特征样本子集合3包括的特征，之后，根据传输特征样本子集合1包括的特征，从待检测信道传输的会话中提取出一类传输特征子集合、根据传输特征样本子集合2包括的特征，从待检测信道传输的会话中提取出另一类传输特征子集合、以及根据传输特征样本子集合3包括的特征，从待检测信道传输的会话中提取出又一类传输特征子集合。

例如，传输特征样本子集合1包括的特征为上传字节数、下载字节数，传输特征样本子集合2包括的特征为下载字节数、负载占比，传输特征样本子集合3包括上传字节数、负载占比，则从待检测信道传输的会话中提取出传输数据的上传字节数特征、下载字节数特征和负载占比，之后，根据上传字节数特征、下载字节数特征生成待检测信道的、子分类模块1对应的传输特征子集合1，根据下载字节数、负载占比生成待检测信道的、子分类模块2对应的传输特征子集合2，以及，根据上传字节数、负载占比生成待检测信道的、子分类模块3对应的传输特征子集合3。

相应地，图1中步骤103根据传输特征集合和目标网络协议类型对应的隐蔽信道检测模型，确定待检测信道的信道类型的具体实施方式可以为：

首先，针对每一子分类模块，将待检测信道的、子分类模块对应的传输特征子集合输入至该子分类模块中，以得到该子分类模块输出的分类结果。

示例地，将传输特征子集合1输入至子分类模块1中，得到一个分类结果，将传输特征子集合2输入至子分类模块2中，得到一个分类结果，以及，将传输特征子集合3输入至子分类模块3中，得到一个分类结果。

之后，根据多个子分类模块输出的分类结果，确定待检测信道的信道类型。

在一种可能的方式中，将多个子分类模块输出的分类结果中出现次数最多的分类结果确定为待检测信道的目标信道类型。例如，子分类模块的数量为20，该20个子分类模块就会输出20个分类结果。如果在该20个分类结果中，有15个分类结果表征该待检测信道为隐蔽信道，则确定该待检测信道的目标信道类型为隐蔽信道。

在另一种可能的方式中，考虑到网络安全检测对隐蔽信道误报的要求较高，因此需要加强对误报的处理机制。示例地，在多个子分类模块输出的分类结果中，若表征待检测信道为非隐蔽信道的分类结果的数量大于或等于第三预设数量，则确定待检测信道的目标信道类型为非隐蔽信道。

例如，如果预设超过15％的子分类模块输出的分类结果表征待检测信道为非隐蔽信道，则确定该待检测信道的目标信道类型即为非隐蔽信道。即，上述第三预设数量为15％*20＝3，则在20个分类结果中，如果表征待检测信道为非隐蔽信道的分类结果的数量大于或等于3，则确定待检测信道的目标信道类型为非隐蔽信道。如此，可以有效降低隐蔽信道的误检测风险。

基于同一发明构思，本公开还提供一种隐蔽信道的检测装置。图2是根据一示例性实施例示出的一种隐蔽信道的检测装置的框图。如图2所示，该隐蔽信道的检测装置200可以包括：

获取模块201，用于获取待检测信道的目标网络协议类型；

第一确定模块202，用于根据所述目标网络协议类型，确定所述待检测信道的传输特征集合；

第二确定模块203，用于根据所述传输特征集合和所述目标网络协议类型对应的隐蔽信道检测模型，确定所述待检测信道的目标信道类型，所述目标信道类型包括隐蔽信道和非隐蔽信道；

所述目标网络协议类型对应的隐蔽信道检测模型通过以下生成方式生成：

根据训练得到的多个所述子分类模块生成所述隐蔽信道检测模型。

可选地，所述隐蔽信道检测模型的生成方式还包括：

针对每一样本数据子集合中，将该样本数据子集合中包括的已知信道类型的传输特征样本集合对应的一类传输特征样本子集合中每一传输特征样本子集合作为输入参数，将每一传输特征样本子集合各自对应的指定信道类型作为输出参数，训练得到一子分类模块。

可选地，所述传输特征样本集合是通过如下方式提取得到的：

对所提取到的不同维度的特征进行特征组合，得到所述目标网络协议类型的对应该已知信道类型的传输特征原始样本集合；

确定所述传输特征原始样本集合中的每一特征的基尼系数；

根据所述基尼系数由小到大的顺序，利用前M个特征生成传输特征样本集合，M为大于零且小于所述传输特征原始样本集合中的特征总数的整数。

根据所述基尼系数由小到大的顺序，确定后N-M个特征为待清洗特征，N为所述传输特征原始样本集合中的特征总数；

对所述待清洗特征和所述传输特征原始样本集合对应的已知信道类型进行聚类分析，并输出聚类结果；

获取用户针对所述待清洗特征的所述聚类结果确定的待保留特征；

利用前M个特征和所述待保留特征，生成传输特征样本集合。

可选地，所述传输特征集合包括多类传输特征子集合；所述第一确定模块202包括：

输入子模块，用于针对每一所述子分类模块，将所述待检测信道的、所述子分类模块对应的传输特征子集合输入至所述子分类模块，以得到所述子分类模块输出的分类结果；

确定子模块，用于根据多个所述子分类模块输出的分类结果，确定所述待检测信道的信道类型。

可选地，所述确定子模块用于：

将多个所述子分类模块输出的分类结果中出现次数最多的分类结果确定为所述待检测信道的目标信道类型；或者

可选地，所述传输特征集合包括的特征是基于会话提取的。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图3是根据一示例性实施例示出的一种电子设备的框图。如图3所示，该电子设备300可以包括：处理器301，存储器302。该电子设备300还可以包括多媒体组件303，输入/输出(I/O)接口304，以及通信组件305中的一者或多者。

其中，处理器301用于控制该电子设备300的整体操作，以完成上述的隐蔽信道的检测方法中的全部或部分步骤。存储器302用于存储各种类型的数据以支持在该电子设备300的操作，这些数据例如可以包括用于在该电子设备300上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器302可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random Access Memory，简称SRAM)，电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，简称EEPROM)，可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，简称EPROM)，可编程只读存储器(Programmable Read-Only Memory，简称PROM)，只读存储器(Read-Only Memory，简称ROM)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件303可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器302或通过通信组件305发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口304为处理器301和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件305用于该电子设备300与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(Near FieldCommunication，简称NFC)，2G、3G、4G、NB-IOT、eMTC、或其他5G等等，或它们中的一种或几种的组合，在此不做限定。因此相应的该通信组件305可以包括：Wi-Fi模块，蓝牙模块，NFC模块等等。

在一示例性实施例中，电子设备300可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit，简称ASIC)、数字信号处理器(DigitalSignal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的隐蔽信道的检测方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述的隐蔽信道的检测方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器302，上述程序指令可由电子设备300的处理器301执行以完成上述的隐蔽信道的检测方法。

以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本公开对各种可能的组合方式不再另行说明。

此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其不违背本公开的思想，其同样应当视为本公开所公开的内容。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：申勇;
专利申请人：东软集团股份有限公司;东软集团(上海)有限公司;

上一篇：一种车辆所经过的ETC门架确定方法、装置及存储介质
下一篇：混合动力汽车的冷却装置和混合动力汽车